분석 및 Sarbanes-Oxley

Qlik, Tableau 및 PowerBI와 같은 셀프 서비스 BI 도구로 SOX 규정 준수 관리

내년에 SOX는 텍사스에서 맥주를 ​​살 수 있을 만큼 나이가 들 것입니다. 이 법안은 2002년의 Sarbanes-Oxley 법안을 후원한 상원의원들의 이름으로 애칭으로 알려진 "Public Company Accounting Reform and Investor Protection Act"에서 탄생했습니다. Sarbanes-Oxley는 기업 재무에 대한 투명성을 제공함으로써 사기로부터 투자자를 보호하는 것이 주요 목적이었던 1933년 증권법의 후예였습니다. 그 행위의 후손인 Sarbanes-Oxley는 이러한 목표를 강화하고 우수한 비즈니스 관행을 통해 책임을 증진하려고 시도했습니다. 그러나 많은 젊은이들과 마찬가지로 우리는 여전히 그것을 알아내려고 노력하고 있습니다. XNUMX년이 지난 지금도 기업들은 이 법안이 그들에게 구체적으로 어떤 의미가 있는지, 그리고 규정 준수를 지원하기 위해 기술 및 시스템에 대한 투명성을 높이는 최선의 방법을 파악하려고 노력하고 있습니다.

책임자는 누구입니까?

일반적인 믿음과 달리 Sarbanes-Oxley는 금융 기관이나 재무 부서에만 적용되지 않습니다. 목표는 모든 조직 데이터 및 관련 프로세스에 더 큰 투명성을 제공하는 것입니다. 기술적으로 Sarbanes-Oxley는 상장 기업에만 적용되지만 그 요구 사항은 잘 운영되는 모든 비즈니스에 적합합니다. 이 법은 CEO와 CFO가 개인적으로 책임을 지도록 합니다. 제시한 데이터. 이러한 관리자는 차례로 CIO, CDO 및 CSO에 의존하여 데이터 시스템이 안전하고 무결성이 있으며 규정 준수를 증명하는 데 필요한 정보를 제공할 수 있는지 확인합니다. 최근에는 CIO와 동료들에게 제어 및 규정 준수가 더 큰 과제가 되었습니다. 많은 조직이 기존의 엔터프라이즈, IT 관리 분석 및 비즈니스 인텔리전스 시스템에서 벗어나고 있습니다. 대신 Qlik, Tableau 및 PowerBI와 같은 LOB(기간 업무) 주도 셀프 서비스 도구를 채택하고 있습니다. 이러한 도구는 기본적으로 중앙에서 관리되지 않습니다.

변경 관리

이 법을 준수하기 위한 주요 요구 사항 중 하나는 적절한 통제와 데이터 또는 애플리케이션의 변경 사항을 체계적으로 기록하는 방법을 정의하는 것입니다. 즉, 변경 관리의 분야입니다. 보안, 데이터 및 소프트웨어 액세스는 물론 IT 시스템이 제대로 작동하지 않는지 모니터링해야 합니다. 규정 준수는 환경을 보호하기 위한 정책 및 프로세스를 정의하는 것뿐만 아니라 실제로 수행하고 궁극적으로 수행되었음을 증명할 수 있는지 여부에 달려 있습니다. 경찰의 증거 연쇄와 마찬가지로 Sarbanes-Oxley 준수는 가장 약한 링크만큼만 강력합니다.  

약한 링크

분석 전도사로서 이런 말을 하는 것이 마음이 아프지만 Sarbanes-Oxley 규정 준수에서 가장 약한 연결 고리는 종종 분석 또는 비즈니스 인텔리전스입니다. 위에서 언급한 셀프 서비스 분석의 리더 – Qlik, Tableau 및 PowerBI – 오늘날의 분석 및 보고 기능은 그 이상입니다. 일반적으로 IT보다 기간 업무 부서에서 수행됩니다. 셀프 서비스 BI 모델을 완성한 Qlik, Tableau 및 PowerBI와 같은 분석 도구의 경우에는 더욱 그렇습니다. 규정 준수에 지출된 대부분의 비용은 재무 및 회계 시스템에 집중되었습니다. 보다 최근에 기업들은 감사 준비를 다른 부서로 적절하게 확장했습니다. 그들이 발견한 것은 공식적인 IT 변경 관리 프로그램이 애플리케이션 및 시스템에 사용되는 것과 동일한 엄격함으로 데이터베이스 또는 데이터 웨어하우스/마트를 포괄하지 못한다는 것입니다.  규정 준수의 변경 관리 정책 및 절차 영역은 일반 통제에 속하며 테스트, 재해 복구, 백업, 복구 및 보안의 다른 IT 정책 및 절차와 함께 그룹화됩니다.

감사를 준수하는 데 필요한 여러 단계 중 가장 자주 간과되는 것 중 하나는 다음과 같습니다.모든 운영자 활동의 누가, 무엇을, 어디서, 언제를 포함한 실시간 감사로 활동 추적 유지 인프라 변경, 특히 부적절하거나 악의적일 수 있는 변경."  변경 사항이 시스템 설정, 소프트웨어 응용 프로그램 또는 데이터 자체에 관계없이 최소한 다음 요소를 포함하는 기록을 유지해야 합니다.

• 변경을 요청한 사람
• 변경이 수행되었을 때
• 변경 사항 - 설명
• 변경을 승인한 사람

분석 및 비즈니스 인텔리전스 시스템의 보고서 및 대시보드 변경 사항에 대한 이 정보를 기록하는 것도 중요합니다. 분석 및 BI 도구가 제어의 연속체에 있는 위치에 관계없이(Wild West, 셀프 서비스 또는 중앙 관리) 스프레드시트(전율), Tableau/Qlik/Power BI 또는 Cognos Analytics – Sarbanes-Oxley를 준수하려면 이 기본 정보를 기록해야 합니다. 감사인은 귀하가 제어 프로세스를 준수하고 있음을 문서화하기 위해 펜과 종이 또는 자동화 시스템을 사용하는지 여부를 신경 쓰지 않습니다. 비즈니스 결정을 내리기 위한 "분석" 소프트웨어로 스프레드시트를 사용하는 경우 변경 관리를 기록하기 위해 스프레드시트를 사용할 수도 있음을 인정합니다.  

그러나 이미 PowerBI 또는 기타와 같은 분석 시스템에 투자했다면 비즈니스 인텔리전스 및 보고 시스템의 변경 사항을 자동으로 기록하는 방법을 찾아야 할 가능성이 큽니다. Tableau, Qlik, PowerBI와 같은 즉시 사용 가능한 분석 도구는 훌륭하지만 감사 가능한 변경 관리 보고 기능을 포함하는 것을 간과했습니다. 너의 숙제를해라. 분석 환경의 변경 사항에 대한 문서화를 자동화하는 방법을 찾으십시오. 더 나아가 감사자에게 시스템 변경 사항에 대한 로그뿐만 아니라 승인된 내부 정책 및 프로세스에 대한 변경 사항을 제시할 준비가 되어 있습니다.

능력: 

1) 견고한 내부 정책을 가지고 있음을 보여주고, 

2) 문서화된 프로세스가 이를 지원하고, 

3) 실제 실천이 확인될 수 있음 

모든 감사인을 기쁘게 할 것입니다. 그리고 감사인이 행복하면 모두가 행복하다는 것을 모두 알고 있습니다.

많은 기업들이 규정 준수에 따른 추가 비용에 대해 불평하며 SOX 표준 준수 비용이 높을 수 있습니다. "이러한 비용은 소규모 기업, 복잡한 기업 및 성장 기회가 낮은 기업에 더 중요합니다."  미준수에 대한 비용은 훨씬 더 높을 수 있습니다.

규정 미준수 위험

Sarbanes-Oxley는 CEO와 이사에게 최고 $500,000 및 5년 징역형에 대한 책임을 묻습니다. 정부는 무지하거나 무능하다는 주장을 받아들이지 않는 경우가 많습니다. 내가 CEO라면 우리 팀이 우리가 모범 사례를 준수했으며 누가 모든 거래를 수행했는지 알고 있음을 증명할 수 있기를 분명히 원할 것입니다. 

하나 더. 나는 Sarbanes-Oxley가 상장 기업을 위한 것이라고 말했습니다. 사실이지만 내부 통제의 부족과 문서의 부족이 공모를 하려는 경우 얼마나 방해가 되는지 고려하십시오.